Le nuove sfide in termini di governance e cybersecurity stanno ponendo le aziende di fronte a scelte strategiche per il futuro. Solo le organizzazioni più virtuose sono riuscite a destinare investimenti a fronte dei rischi reali manifestatisi nel 2022 e che, tuttavia, come tutti gli investimenti in sicurezza, hanno un return on investment (Roi) non sempre facilmente calcolabile.
Alcune scelte continuano a essere guidate dall’emergenza e/o da presunti “guru” che cavalcano le tigri delle paure cyber, trasformandosi da esperti di sicurezza in professionisti di cyber.
Tutto ciò mentre l’inarrestabile rivoluzione digitale è in corso, anzi è già avvenuta, e l’acquisizione di dati e informazioni è in costante crescita. L’attenzione si concentra sul nuovo motore intelligente ChatGPT-OpenAI, che in effetti fa paura e genera sconcerto. Accettiamo tutto dalla rete, mentre i big annunciano continui tagli del personale (Microsoft taglia diecimila dipendenti, Amazon diciottomila, Salesforce ottomila, Twitter tremilasettecento): segno che la rivoluzione sta cambiando obiettivi.
Mentre ciò avviene, le scelte di alcuni grandi gruppi industriali e infrastrutture critiche e pubbliche amministrazioni, sono orientate in controtendenza rispetto alle loro stesse strategie dichiarate che parlano di digitalizzazione, sostenibilità, remote maintenance: dichiarazioni di principio smentite da ormai desueti criteri di qualificazione e selezione dei fornitori, da una ottusa modalità di individuazione delle tecnologie di sicurezza, dalla reiterazione di modelli di servizio non digitabili e non più sostenibili, da discutibili modalità di progettazione e certificazione.
Scelte che tarpano le ali al cambiamento e alla digitalizzazione esponendo le reti e i servizi ad attacchi e che, a fronte degli investimenti in cyber, rendono nulla l’efficacia; accedere attraverso tradizionali servizi e sistemi di security direttamente alle reti è molto semplice, banale e pericoloso; scopriremo presto allora che la tigre è cavalcata in taluni casi da cavalieri improvvisati nel fronteggiare la cosiddetta cyberwar.
È il caso dell’ormai stantio tema delle telecamere cinesi bandite da molti e usate da tutti, «le telecamere cinesi ci spiano» che ricordano il vecchio luogo comune degli anni Novanta «i cinesi non muoiono mai». L’escalation della comprensibile guerra commerciale Stati Uniti-Cina, nel mettere al bando i prodotti del colosso asiatico, fa riferimento al futuro legittimando il passato in quanto già autorizzato. In sostanza è soltanto una corretta, strategica, politica di protezione dal rischio economico in un contesto politico economico di conflitto.
La telecamera da sola è innocua, dicono gli stessi Stati Uniti, ma da oggi in poi useremo solo prodotti non cinesi; eppure da noi ci si continua a nascondere dietro questa moda dichiarativa, non essendovi altra strategia, mentre poi si continua a selezionare player della sicurezza utilizzando i parametri del prezzo, della quantità, del piccolo esercito , magari riempiendo le proprie strutture di telecamere cinesi bandite nelle dichiarazioni e nei documenti ufficiali, ma più economiche, uniche reperibili, talvolta le più affidabili.
Qualitative strategie di selezione dei prodotti, capacità di produzione e approvvigionamento adeguate, resilienti, servono oggi per supportare la protezione dei nuovi ambienti digitali mitigando i rischi non in maniera generica ma classificandoli secondo i diversi livelli di criticità/severità.
Gli ambienti digitali devono essere sì sicuri, più che sicuri e certificati, ma attraverso una valutazione della sicurezza fatta su criteri specifici e oggettivi, qualsiasi soluzione tecnologica oltre ad essere certificata deve essere affidabile.
Ma come utilizzarla? In quali condizioni di sicurezza, con quali competenze, formazione? Queste sono le domande oggi: la cybertecnologia e la sicurezza e gestione delle piattaforme deve essere collegata all’innovazione nell’utilizzo dei servizi che vi accedono, nelle modalità della gestione, perché la tecnologia resta una commodity e la competenza nell’utilizzo è un valore che cresce con investimenti, formazione, nuove consapevolezze. Cyber coerenza, consapevolezza, security: ahimè forse siamo indietro.
L’autore di questo articolo, Giuseppe Calabrese, è Ceo di Secursat.